Esta página foi traduzida pela API Cloud Translation.

Ingerir registros da AWS no Google Security Operations

Neste documento, detalhamos as etapas para configurar a ingestão de registros e dados de contexto do AWS CloudTrail no Google Security Operations. Essas etapas também se aplicam à ingestão de registros de outros serviços da AWS, como AWS GuardDuty, AWS VPC Flow, AWS CloudWatch e AWS Security Hub.

Para ingerir registros de eventos, a configuração direciona os registros do CloudTrail para um bucket do Amazon Simple Storage Service (Amazon S3), opcionalmente usando uma fila do Amazon Simple Queue Service (Amazon SQS). Se uma fila do Amazon SQS for usada, o Google Security Operations lerá as notificações do Amazon S3 que são enviadas para a fila do Amazon SQS e extrairá os arquivos correspondentes do bucket do Amazon S3. Essa é uma versão baseada em push de um feed do Amazon S3 que pode ser usada para atingir uma capacidade melhor.

A primeira parte deste documento apresenta etapas concisas para usar o Amazon S3 como o tipo de origem do feed ou, opcionalmente, usar o Amazon S3 com o Amazon SQS como o tipo de origem do feed. A segunda parte apresenta etapas mais detalhadas com capturas de tela para usar o Amazon S3 como o tipo de origem do feed. O uso do Amazon SQS não é abordado na segunda parte. A terceira parte fornece informações sobre como ingerir dados de contexto da AWS sobre hosts, serviços, redes VPC e usuários.

Etapas básicas para ingerir registros do S3 ou S3 com o SQS

Esta seção descreve as etapas básicas para ingerir registros do AWS CloudTrail na instância do Google Security Operations. As etapas descrevem como fazer isso usando o Amazon S3 como o tipo de origem do feed ou, opcionalmente, o Amazon S3 com o Amazon SQS como o tipo de origem do feed.

Configurar o AWS CloudTrail e o S3

Neste procedimento, você vai configurar os registros do AWS CloudTrail para que sejam gravados em um bucket do S3.

No console da AWS, pesquise CloudTrail.
Clique em Criar trilha.
Forneça um Nome da trilha.
Selecione Criar novo bucket do S3. Também é possível usar um bucket atual do S3.
Dê um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS.
Deixe as outras configurações como padrão e clique em Próxima.
Escolha Tipo de evento, adicione Eventos de dados conforme necessário e clique em Próxima.
Revise as configurações em Revisar e criar e clique em Criar trilha.
No console da AWS, pesquise buckets S3 do Amazon.
Clique no bucket de registros recém-criado e selecione a pasta AWSLogs. Em seguida, clique em Copiar URI do S3 e salve para usar nas próximas etapas.

Criar uma fila do SQS

Opcionalmente, você pode usar uma fila SQS. Se você usar uma fila SQS, ela precisará ser uma fila Padrão, não uma fila FIFO.

Para detalhes sobre como criar filas do SQS, consulte Introdução ao Amazon SQS.

Configurar notificações para sua fila do SQS

Se você usar uma fila do SQS, configure notificações no bucket do S3 para fazer gravações na fila do SQS. Anexe uma política de acesso.

Configurar usuário do IAM da AWS

Configure um usuário do AWS IAM que o Google Security Operations vai usar para acessar a fila do SQS (se usada) e o bucket S3.

No console da AWS, pesquise IAM.
Clique em Usuários e,na tela seguinte, clique em Adicionar usuários.
Dê um nome ao usuário, por exemplo, chronicle-feed-user, Selecione o tipo de credencial da AWS como Chave de acesso - Acesso programático e clique em Próximo: permissões.
Na próxima etapa, selecione Anexar políticas atuais diretamente e escolha AmazonS3ReadOnlyAccess ou AmazonS3FullAccess, conforme necessário. AmazonS3FullAccess será usado se o Google Security Operations quiser limpar os buckets do S3 após a leitura de registros para otimizar os custos de armazenamento do AWS S3.
Como alternativa recomendada à etapa anterior, crie uma política personalizada para restringir ainda mais o acesso apenas ao bucket do S3 especificado. Clique em Criar política e siga a documentação da AWS para criar uma política personalizada.
Ao aplicar uma política, verifique se você incluiu sqs:DeleteMessage. O Google Security Operations não poderá excluir mensagens se a permissão sqs:DeleteMessage não estiver anexada à fila do SQS. Todas as mensagens são acumuladas no lado da AWS, o que causa um atraso quando as Operações de segurança do Google tentam transferir os mesmos arquivos repetidamente.
Clique em Próximo:Tags.
Adicione as tags, se necessário, e clique em Próximo:revisão.
Revise a configuração e clique em Criar usuário.
Copie o ID da chave de acesso e a Chave de acesso secreta do usuário criado para usar na próxima etapa.

Criar o feed

Depois de concluir os procedimentos acima, crie um feed para ingerir os registros da AWS do bucket do Amazon S3 na instância do Google Security Operations. Se você também estiver usando uma fila SQS, no procedimento a seguir selecione Amazon SQS como o tipo de origem em vez de Amazon S3.

Para criar um feed:

Na barra de navegação, selecione Configurações, Configurações do SIEM e Feeds.
Na página Feeds, clique em Adicionar novo.
Na caixa de diálogo Adicionar feed, use a caixa de diálogo Tipo de origem para selecionar Amazon S3 ou Amazon SQS.
No menu Tipo de registro, selecione AWS CloudTrail (ou outro serviço da AWS).
Clique em Próxima.
Insira os parâmetros de entrada para seu feed nos campos.

Se o tipo de origem for Amazon S3:
1. Selecione a região e forneça o URI do S3 do bucket do Amazon S3 que você copiou anteriormente. Além disso, é possível anexar o URI do S3 com:
```
    {{datetime("yyyy/MM/dd")}}

    
```
  Como no exemplo a seguir, para que as Operações de Segurança do Google verifiquem os registros cada vez apenas em um dia específico:
```
    s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/

    
```
2. Em O URI É A, selecione Diretórios incluindo subdiretórios. Selecione uma opção adequada em Opção de exclusão de fonte. Ele deve corresponder às permissões da conta de usuário do IAM que você criou anteriormente.
3. Forneça o ID da chave de acesso e a Chave de acesso secreta da conta de usuário do IAM que você criou anteriormente.
Clique em Próximo e em Concluir.

Etapas detalhadas para ingerir registros do S3

Configurar o AWS CloudTrail (ou outro serviço)

Conclua as etapas a seguir para configurar os registros do AWS CloudTrail e fazer com que eles sejam gravados no bucket do AWS S3 criado no procedimento anterior:

No console da AWS, pesquise CloudTrail.
Clique em Criar trilha.
Forneça um Nome da trilha.
Selecione Criar novo bucket do S3. Também é possível usar um bucket atual do S3.
Dê um nome para o alias do AWS KMS ou escolha uma chave do AWS KMS.
Deixe as outras configurações como padrão e clique em Próxima.
Escolha Tipo de evento, adicione Eventos de dados conforme necessário e clique em Próxima.
Revise as configurações em Revisar e criar e clique em Criar trilha.
No console da AWS, pesquise buckets S3 do Amazon.
Clique no bucket de registros recém-criado e selecione a pasta AWSLogs. Em seguida, clique em Copiar URI do S3 e salve para usar nas próximas etapas.

Configurar usuário do IAM da AWS

Nesta etapa, vamos configurar um usuário do AWS IAM que o Google Security Operations vai usar para receber feeds de registro da AWS.

No console da AWS, pesquise IAM.
Clique em Usuários e,na tela seguinte, clique em Adicionar usuários.
Dê um nome ao usuário, por exemplo, chronicle-feed-user, Selecione o tipo de credencial da AWS como Chave de acesso - Acesso programático e clique em Próximo: permissões.
Na próxima etapa, selecione Anexar políticas atuais diretamente e escolha AmazonS3ReadOnlyAccess ou AmazonS3FullAccess, conforme necessário. AmazonS3FullAccess será usado se o Google Security Operations quiser limpar os buckets do S3 após a leitura de registros para otimizar os custos de armazenamento do AWS S3. Clique em Próximo:Tags.
Como alternativa recomendada à etapa anterior, crie uma política personalizada para restringir ainda mais o acesso apenas ao bucket do S3 especificado. Clique em Criar política e siga a documentação da AWS para criar uma política personalizada.
Adicione as tags, se necessário, e clique em Próximo:revisão.
Revise a configuração e clique em Criar usuário.
Copie o ID da chave de acesso e a Chave de acesso secreta do usuário criado para usar na próxima etapa.

Configure o feed no Google Security Operations para ingerir registros da AWS

Acesse as configurações do Google Security Operations e clique em Feeds.
Clique em Adicionar novo.
Selecione Amazon S3 em Tipo de origem.
Selecione AWS CloudTrail (ou outro serviço da AWS) em Tipo de registro.

Clique em Próxima.
Selecione a região e forneça o URI do S3 do bucket do Amazon S3 que você copiou anteriormente. Além disso, você pode anexar o URI do S3 com:
```
{{datetime("yyyy/MM/dd")}}
```
Como no exemplo a seguir, para que as Operações de segurança do Google verifiquem os registros a cada vez apenas para um dia específico:
```
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/
```
Em O URI É A, selecione Diretórios incluindo subdiretórios. Selecione uma opção adequada em Source Deletion Option,que deve corresponder às permissões da conta IAM User que criamos anteriormente.
Forneça o ID da chave de acesso e a Chave de acesso secreta da conta do usuário do IAM que criamos anteriormente.
Clique em Next e Finish.

Etapas para ingerir dados de contexto da AWS

Para ingerir dados de contexto sobre entidades da AWS (como hosts, instâncias e usuários), crie um feed para cada um dos tipos de registro a seguir, listados por descrição e rótulo de ingestão:

HOSTS EC2 da AWS (AWS_EC2_HOSTS)
INSTÂNCIAS AWS EC2 (AWS_EC2_INSTANCES)
VPCS EC2 da AWS (AWS_EC2_VPCS)
Identity and Access Management (IAM) da AWS (AWS_IAM)

Para criar um feed para cada tipo de registro listado acima, faça o seguinte:

Na barra de navegação, selecione Configurações, Configurações do SIEM e Feeds.
Na página Feeds, clique em Adicionar novo. A caixa de diálogo Adicionar feed será exibida.
No menu Tipo de origem, selecione API de terceiros.
No menu Tipo de registro, selecione AWS EC2 Hosts.
Clique em Próxima.
Insira os parâmetros de entrada para o feed nos campos.
Clique em Next e em Finish.

Para informações mais detalhadas sobre como configurar um feed para cada tipo de registro, consulte a seguinte documentação de gerenciamento de feeds:

Para informações gerais sobre como criar um feed, consulte o Guia do usuário sobre o gerenciamento de feeds ou a API de gerenciamento de feeds.